본문 바로가기

Application/Debug

(80)
[보안과 해킹] 온라인 게임 해킹 대응 가이드북 온라인 게임 해킹 대응 가이드북 정통부와 한국정보보호진흥원, 온라인 게임정보보호 협의회에서 배포한 "온라인 게임 해킹 대응 가이드북"입니다. 전체 목차는 아래와 같습니다. ---- 제 1 장 개 요 제 2 장 온라인 게임 서비스 및 보안 현황 제 1 절 온라인 게임 서비스 구성 제 2 절 온라인 게임 업체 보안 현황 제 3 절 온라인 게임 서비스 공격 현황 제 4 절 온라인 게임 해킹 관련 적용 법률 제 3 장 개발 시 보안 대책 제 1 절 웹 어플리케이션 개발 시 보안 대책 제 2 절 게임 서비스 개발 시 보안대책 제 4 장 게임 서비스 보안 관리 제 1 절 Windows 2003 서버 보안 제 2 절 유닉스/리눅스 서버 보안 제 3 절 게임보안 솔루션 제 4 절 어플리케이션 보안성 검수 제 5 장 내..
[보안과 해킹] 마비노기 해킹 툴 해프닝 마비노기 해킹 툴 해프닝 마비노기라는 유명 게임의 보안 도구인 가드캣에 대해 문제를 제기하는?흥미로운 글이 있더군요. http://draco.pe.kr/index.php?pl=475 위의 글은 재미있게도 1. 현재 적용 중인 게임 보안 솔루션에 대해 문제 제기 2. 직접 Visual Basic 으로 해킹 툴 제작 3. 해킹?정보를 이쁜 그래픽으로 표현 (솔직히 그 정성에 탄복했습니다) 하였습니다. 사 실 보안 도구로 설치되는 다양한 ActiveX 를 Visual Basic 에서 불러들여서 보안 기능을 무력화 하는 일은 국내 보안 전문가 사이에서는 상식적인 정보입니다.?위의 해킹 과정을 적은 분의 문제 제기를 보면?논리적으로 문제가 있어?보안 전문가는 아닌 것으로 보이는데, 어쨌건 간에 실제 해킹이 발생한..
[보안과 해킹] 술먹고 코딩하지 말란 말이야~ 술먹고 코딩하지 말란 말이야~ ㅋㅋ... 구글 코드 서치를 이용해 애플리케이션의 취약점(Magic Password 나 XSS 등)을 찾는 게 요새 유행입니다. 본래?다른 프로그래머의 작업을 손쉽게 베낄 수 있도록 하려는 목적에서 만들어진 구글 코드 서치가 보안 분야에 활용되리라고는 미처 예상키 어려운 일이었겠죠. 그러나 세상에는 놀라운 일이 너무나 많습니다. 어느 한가한(?) 사람이 구글 코드 서치를 이용해 시간을 떼우는 창의적인 방법을 개발해냈습니다. Slashdot 의 구글 코드 서치 스레드를 읽어보면 구글 코드 서치를 활용하는 갖가지 창의적인 방법이 나옵니다. 그 중 단연 압권은 '코딩 하면서 술 좀 마시지 말란 말이야~' 라는 주석인데요....?이런 키워드로 검색을 할 생각을 하다니, 그런 사람의..
[보안과 해킹] Bugle - 구글코드서치 버그파인더 Bugle - 구글코드서치 버그파인더 영국의 한 사이트에서 Google Code Search 를 이용해 버그를 찾는 프로젝트를 시작했습니다. 이름하여 Bugle 프로젝트. http://www.cipher.org.uk/index.php?p=projects/bugle.project 사용자가 버그의 전형적인 패턴에 대한 정규표현식(Regular Expression)을 등록하면 이를 이용해 버그를 찾아주는데요, 이미 상당수의 패턴이 등록되어 있습니다. 소스 보안성 분석을 수행하시는 분이라면 컨설팅 시 버그 찾기에 사용하는 Grep 패턴을 다수 보유하고 계실텐데, 프로젝트 진행하면서 '아, 더 효율적인 패턴이 없을까?' 라는 고민에 괴로워?하셨을 겁니다. 이 프로젝트는 각자 개인의?두뇌 한계 내에서 고민하지 말고..
[보안과 해킹] 구글 코드 서치로 SQL Injection 코드 찾기 구글 코드 서치로 SQL Injection 코드 찾기 구글 코드 서치로 PHP 코드 중 SQL Injection 취약점이 있는 코드를 찾는 키워드가 공개되었습니다. 쿼리 : lang:php Where $_POST -addslashes 쿼리 결과 : http://www.google.com/codesearch?q=+lang:php+Where+%5C%24_POST+-addslashes&sa=N 쿼리를 잘 보시면 PHP 언어 중 Where 와 $_POST 절이 나타나면서 addslashes 함수를 사용하지 않는 코드를 찾고 있는 것을 보실 수 있습니다. 결과로 나오는 모든 코드가 취약한 것은 아니고, PHP 환경 설정의 영향도 받는다는 것을 고려해야 하겠습니다만... 유명한 제품에도 의외로 많은 결과가 나오는 ..
[보안과 해킹] GigaPcap 패킷캡처 전용카드 GigaPcap 패킷캡처 전용카드 일본에서 GigaPcap 이라는 패킷캡처 전용카드가 나왔다고 합니다. 자료를 토대로 파악해볼 때 TCP off load 기술처럼 OS 레벨에서 이루어지는 패킷캡처 기능 중 일부를 NIC 이 수행하도록?설계한 것으로 보입니다. 자료에는 GigaPcap 이 수행하는 주요 기능으로 - 패킷 헤더 추출 - 필드 추출 - 고정밀의 타임 스탬프 부여 - 필터 처리 를 언급하고 있습니다. NIC 을 직접 살펴 보면 1. 패킷처리용 Reconfigurable Processor 2 개 (아마 FPGA 인 듯) 2. 512MB DRAM 의 패킷 버퍼 3. PCI-X 인터페이스 4. 2개의 Gigabit Ethernet 포트 로 이루어져 있습니다. 가격은 160만엔(한화로 약 1,300만원..
[보안과 해킹] MS 워드의 제로데이 취약점 공격툴 공개 (한글 윈도우용) MS 워드의 제로데이 취약점 공격툴 공개 (한글 윈도우용) 지난 주에 "MS 워드의 제로데이 취약점 해킹 동영상 공개" 라는 제목의 글을 올린 바 있습니다. shuny2k 님이 당시 공개된 도구를 테스트해보시고 아직 한글 윈도우에서는 정상 작동하지 않는다는 정보를 제공해주셨는데요, 그새 주말 사이에 한글 윈도우에서도 작동하는 공격툴이 milw0rm 을 통해 공개되어서 각별한 주의가 필요합니다. ( 공격툴에 대한 설명 문서의 내용 ) 공격툴에 대한 설명 문서를 보시면 풀패치된 한글 윈도우 XP SP2 에서 해당 도구가 정상 작동한다고 나와 있네요.?보안 분야를 잘 모르시는 분들은?놀라셨을지 모르겠습니다만, 일반적으로?해외 사이트에 공개된 공격 도구가 하루나 이틀 정도면 한글 윈도우 환경에 맞도록 Porti..
[보안과 해킹] 곰 플레이어 보안 취약점 곰 플레이어 보안 취약점 동영상 플레이어로 유명한 곰 플레이어에서 보안 취약점이 발표되었습니다.?음악 좀 들어보려고 클릭했다가?자기도 모르게 해킹을 당할 상황이군요. ( 해외 보안 정보 사이트인 Secunia 에 공개된 취약점 정보 ) Parvez Anwar 라는 외국 해커에 의해 발견되었는데, 동영상 재생을 위한 플레이 리스트 포맷으로 자주 사용되는 ASX 파일을 처리할때 전형적인 스택 버퍼 오버플로우가 발생한다고 합니다. 보안 권고문 내용으로 봐선 동영상 파일 URI 를 처리할 때 문자열 을 처리하는 부분에 버퍼 오버플로우가 존재하는게 아닌가 싶은데... 현재 곰플레이어 제작 업체인 아이팝에서 취약점이 해결된 2.1.1 버전을 배포하고 있으니 최신 버전으로 업데이트하시기 바랍니다. 그나저나 이름이 P..